2019年5月13日國(guó)家市場(chǎng)監(jiān)督管理總局正式發(fā)布了《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》2.0版本（簡(jiǎn)稱等保2.0），于2019年12月1日已經(jīng)正式實(shí)施。早在十多年前，2007年和2008年國(guó)家頒布實(shí)施的《信息安全等級(jí)保護(hù)管理辦法》與《信息安全等級(jí)保護(hù)基本要求》被稱為等保1.0，這為我國(guó)網(wǎng)絡(luò)安全事業(yè)發(fā)展奠定了堅(jiān)實(shí)的基礎(chǔ)。

相對(duì)于等保1.0來(lái)講，等保2.0是為了適應(yīng)新技術(shù)的發(fā)展，解決云計(jì)算、物聯(lián)網(wǎng)與移動(dòng)互聯(lián)、工控領(lǐng)域等級(jí)保護(hù)的需要，信息系統(tǒng)等級(jí)保護(hù)的要求更加細(xì)化嚴(yán)格，可以說(shuō)是在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度過(guò)程中具有里程碑的意義。

以等保三級(jí)為例，以下通過(guò)等保1.0和等保2.0的具體要求進(jìn)行比較，并給出相應(yīng)的等保2.0的應(yīng)對(duì)解決方案。

數(shù)據(jù)權(quán)限管理解決方案

等保2.0中該測(cè)評(píng)單元包括以下要求

a） 測(cè)評(píng)指標(biāo)：訪問(wèn)控制的粒度應(yīng)達(dá)到主體為用戶級(jí)或進(jìn)程級(jí)，客體為文件、數(shù)據(jù)庫(kù)表級(jí)。

b） 測(cè)試對(duì)象：終端和服務(wù)器等設(shè)備中的操作系統(tǒng)（包括宿主機(jī)和虛擬機(jī)操作系統(tǒng)）、網(wǎng)絡(luò)設(shè)備（包括虛擬網(wǎng)絡(luò)設(shè)備）、安全設(shè)備（包括虛擬安全設(shè)備）、移動(dòng)終端、移動(dòng)終端管理系統(tǒng)、移動(dòng)終端管理客戶端、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計(jì)文檔等。

c） 測(cè)評(píng)實(shí)驗(yàn)：應(yīng)核查訪問(wèn)控制策略的控制粒度是否達(dá)到主體為用戶級(jí)或進(jìn)程級(jí)，客體為文件、數(shù)據(jù)庫(kù)表、記錄或字段級(jí)。

ADM解決方案：

等保2.0中對(duì)數(shù)據(jù)的訪問(wèn)控制要求更為精細(xì)，要求訪問(wèn)控制的粒度應(yīng)達(dá)到數(shù)據(jù)庫(kù)表級(jí)和字段級(jí)，這就導(dǎo)致傳統(tǒng)的運(yùn)維安全審計(jì)產(chǎn)品不再能滿足等級(jí)保護(hù)的測(cè)評(píng)要求，而上訊信息ADM平臺(tái)的數(shù)據(jù)權(quán)限管理解決方案此時(shí)登場(chǎng)，通過(guò)數(shù)據(jù)庫(kù)訪問(wèn)權(quán)限管控與數(shù)據(jù)動(dòng)態(tài)脫敏的功能結(jié)合，實(shí)現(xiàn)細(xì)化到數(shù)據(jù)庫(kù)表、字段級(jí)、記錄的權(quán)限管控，并對(duì)不具備查看原始數(shù)據(jù)權(quán)限的數(shù)據(jù)做相應(yīng)的動(dòng)態(tài)脫敏處理。

01采用虛擬賬號(hào)，消除訪問(wèn)隱患

ADM內(nèi)置權(quán)限匹配的功能，根據(jù)具體屬性制定訪問(wèn)策略，做到事前控制、事中跟蹤、事后識(shí)別全程記錄訪問(wèn)者，嚴(yán)格控制訪問(wèn)行為。

02縮小訪問(wèn)粒度，管控訪問(wèn)細(xì)節(jié)

所有SQL指令經(jīng)過(guò)ADM過(guò)濾，掃描出所有的訪問(wèn)屬性，首次將訪問(wèn)粒度縮小至數(shù)據(jù)庫(kù)表級(jí)、數(shù)據(jù)庫(kù)字段級(jí)，滿足等保2.0對(duì)數(shù)據(jù)訪問(wèn)控制的客體要求。

03屬性動(dòng)態(tài)靈活，提高訪問(wèn)安全

ADM訪問(wèn)控制技術(shù)的優(yōu)勢(shì)在于能夠動(dòng)態(tài)識(shí)別客戶端發(fā)出的所有訪問(wèn)行為，替換真值返回受限訪問(wèn)結(jié)果，不局限于數(shù)據(jù)自身特征預(yù)定的固定、靜態(tài)的敏感策略，因此在保證數(shù)據(jù)安全訪問(wèn)的前提下，增加了數(shù)據(jù)訪問(wèn)的靈活性。

通過(guò)創(chuàng)建訪問(wèn)用戶，對(duì)訪問(wèn)用戶設(shè)置訪問(wèn)權(quán)限，限定該用戶可訪問(wèn)數(shù)據(jù)庫(kù)中的哪些表，進(jìn)而對(duì)訪問(wèn)用戶的特殊行為，比如insert、update、select、delete、drop、truncate等操作進(jìn)行阻斷或?qū)徟笤试S操作，ADM建立了一套完整的數(shù)據(jù)訪問(wèn)控制流程，杜絕了權(quán)限設(shè)置過(guò)大造成的管控遺漏現(xiàn)象、賬號(hào)共享導(dǎo)致的越權(quán)訪問(wèn)以及數(shù)據(jù)訪問(wèn)過(guò)程中喪失靈活性的問(wèn)題。

上訊信息ADM產(chǎn)品通過(guò)數(shù)據(jù)權(quán)限管理解決方案，助力企業(yè)打造更高安全級(jí)別的網(wǎng)絡(luò)安全堡壘，順利通過(guò)等保2.0訪問(wèn)控制方向的安全等級(jí)測(cè)評(píng)，未來(lái)，上訊信息將不遺余力地為網(wǎng)絡(luò)安全事業(yè)發(fā)展提供更多強(qiáng)有力的解決方案！